燃气行业SCADA系统安全防护研究

2018-07-16李亚楠

信息安全研究 2018年7期

李亚楠吴波

（成都卫士通信息产业股份有限公司北京 100070）（li．yanan＠westone．com．cn）

燃气行业关乎国计民生，天然气长输管道系统的安全可靠运行也直接关系到国民经济的发展和人民生命财产的安全．SCADA系统是长输天然气工控系统的核心，该系统的安全直接关系到生产安全．随着信息技术快速发展，信息系统安全问题也同样严峻，例如来自网络空间的攻击将利用公网直接威胁到SCADA系统安全，进而对管道系统造成物理损坏，轻者出现网络中断，重者甚至导致生产事故．2016年初乌克兰电网被网络攻击造成全国大面积停电事件已经清楚显示了其危害程度，证明了工控系统安全的重要性［1］．

我国已深刻意识到了燃气行业工业控制系统安全的重要性，在法律层面、政策规定层面、标准层面分别对其提出了相应的安全防护要求．国家法律层面，2016年11月7日通过《中华人民共和国网络安全法》，对包括能源行业在内的关键信息基础设施的网络安全进行了明确规定．政策规定层面，国家高度重视基础设施工业控制系统安全工作，国务院、工业与信息化部等部委机关下发了多个政策文件规定强化相关工作：2011年9月发布了工信部《关于加强工业控制系统信息安全管理的通知》；2012年6月，国发23号文《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》中明确要求保障工业控制系统安全；2016年11月3日工信部为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》，保障工业企业工业控制系统信息安全，制定并下发了《工业控制系统信息安全防护指南》．标准要求层面，当前油气管道工业控制系统信息安全相关的主要国家和行业相关标准，包括GB?T26333—2010《工业控制网络安全风险评估规范》，GB?T30976．1．2—2014《工业控制系统信息安全——评估规范?验收规范》，GB?T32919—2016《信息安全技术工业控制系统安全控制应用指南》［2－5］．

本文针对燃气SCADA系统面临的安全威胁，提出了解决方案，从通信网络、网络边界、计算环境、统一监管4个方面进行了安全设计．

1 燃气SCADA系统基本结构

SCADA系统一般是采用以计算机网络为核心构成3级式的监控和数据采集系统．一般系统为3级分部式控制系统，如图1所示．

1级：调度中心为系统控制管理级，负责数据的处理和监控．

图1 燃气SCADA系统基本结构

2级：通信网络．系统通过有线或无线通信网络有机地结合在一起构成一个完整的数据采集和监控系统．

3级：带有本地站控系统的门站和高中压调压站为系统过程控制级，负责现场数据采集和设备控制，以及分布于各个管网端站的RTU为远程检测控制级．

2 安全风险及需求分析

根据SCADA系统特点，其安全风险及需求主要来自通信网络、区域边界、计算环境、安全管理等几个方面，具体包括［6－10］：

1）通信网络安全风险及需求分析．

① 公共通信链路数据传输完整性、机密性．

针对公共通信链路无防护措施，存在数据传输安全风险，公共通信链路数据传输完整性、机密性需求如下：

传输完整性．应能够检测到过程监控层网络内所有的系统管理数据、鉴别信息和重要控制数据在传输过程中完整性受到的破坏．

传输保密性．应能够采用加密技术或其他有效的技术手段实现系统控制指令数据、鉴别信息和监控数据在传输中的保密性．

② 通信网络安全监管与审计．

针对通信网络缺乏安全监管与审计，存在非法入侵的风险，需求如下：安全监管与审计方面，生产控制行为异常监测需求，对工控信息网络进行全程录制分析，实现工控网络行为安全建模的自动化和智能化．

2）区域边界安全风险及需求分析．

① 燃气SCADA系统网络边界防护．

针对燃气SCADA系统网络缺乏边界防护手段，存在来自网络空间的攻击风险，提出如下需求：边界访问控制、边界完整性检测、边界入侵防御、边界安全审计．

② 燃气SCADA系统内部各层间边界防护．

针对系统内部各层之间安全防御不足，存在单点受攻击后扩散全网风险，采用纵深防御概念设计，将全网划分为3个不同的安全网络层次，应具备访问路径控制、入侵检测与防护、技术隔离以及安全审计等能力．

3）计算环境安全风险及需求分析．

① 核心服务器、各类终端防护．

针对核心服务器没有配置有效安全防护措施，存在被攻击风险，以及各类终端无防护措施，存在各类违规操作风险，对核心服务器及各类终端进行身份鉴别、访问控制、安全审计、主机入侵防御、资源控制等安全防护．

② 漏洞扫描．

针对燃气SCADA系统中安全风险评估不足，存在系统漏洞风险，应为系统开展定期的漏洞扫描，对工业控制系统中的设备及系统进行扫描和风险评估．应支持主流工控协议，对已知和未知漏洞均可识别，实现对工业环境各个部分的全方位检测，为工控系统的风险评估提供基础技术支撑．

③ 运维风险防护．

针对目前SCADA系统运维人员无审计措施，存在误操作、恶意操作风险，需提供针对运维人员的身份认证、访问操作权限管理、操作行为监控审计．

4）管理方面风险及需求分析．

① 统一监管．

针对系统无统一安全监管平台，存在安全策略不一致等多项风险，需建设统一监管平台，实现工控协议数据分析，防范安全风险、工控安全设备集中管理安防联动、管道控制系统统一监控，安全态势整体呈现．

② 信息安全培训．

针对企业缺乏工控信息安全培训，安全意识有待提高，需增强企业工控信息安全培训，针对安全意识的培养，安全事件的事前防御、事中响应、事后审计等均进行明确的要求，提高员工安全素质．

3 燃气SCADA系统安全防护设计

本防护方案依据GB?T25070—2010《信息安全技术信息系统等级保护安全设计技术要求》及GA?T 1390．5—2017《信息安全技术网络安全等级保护基本要求第5部分：工业控制系统安全扩展要求》要求设计，并遵循适度安全、重点保护、技术与管理并重、分区分域、动态调整及科学规划6点原则．

3．1 总体框架设计

燃气SCADA系统总体防护框架是将工业控制系统等级保护的基本要求、安全设计技术要求与安全防护需求充分融合并提炼，形成“一个基础支撑、一个平台管理下的三重保障体系”，为燃气SCADA系统提供体系化的防护能力，确保系统安全可持续运行．总体防护框架如图2所示：

图2 安全技术总体框架

“一个基础支撑、一个平台管理下的三重保障体系”是指以物理安全为基础，以工业集中管理平台为核心，构建安全计算环境、安全区域边界和安全通信网络，确保应用系统能够在工业集中管理平台的统一管控下运行，不会进入任何非预期状态，从而防止用户的非授权访问和越权访问，确保应用系统的安全．

根据业务处理过程将燃气SCADA系统划分成计算环境（含现场控制层，现场设备层的PLC、SIS、现场仪表等工控设备）、区域边界和通信网络（含工业总线网络）3个不同的部分，以物理安全为基础对这3部分实施保护，构成由工业集中管理平台支撑下的计算环境安全、区域边界安全、通信网络安全所组成的三重防护体系架构．在这三重防护体系架构中，如果每一个使用者都是经过认证和授权的，其操作都是符合规定的，那么就不会产生攻击性的事故，就能保证整个信息系统的安全．

工业集中管理平台实现对工控系统集中的安全管理和运维，提供安全管理、安全监管和安全运维服务．主要为燃气SCADA系统提供工业业务服务、设备安全监控、设备统一调度、设备安全管理、辅助安全管理、系统运维管理、信息采集等．

物理安全主要是支撑整个工控系统安全运行的物理环境安全，是整个系统安全的基础，也是信息系统最基本的安全基础．

计算环境是对系统的信息存储与处理进行安全保护的部件，是由系统中完成信息存储与处理的计算机系统硬件和系统软件以及外部设备及其联接部件组成，也可以是单一的计算机系统．计算环境安全通过终端、物理计算环境、上层应用系统和数据库的安全机制服务，保障应用业务处理全过程的安全．通过在物理计算环境、系统层设置以强制访问控制为主体的系统安全机制，构建安全保护环境的结构化机制，建立可信、无隐蔽通道的安全保护环境，形成严密的安全保护环境，通过对用户行为的控制，可以有效防止非授权用户访问和授权用户越权访问，确保信息和信息系统的保密性和完整性，从而为业务应用系统的正常运行和免遭恶意破坏提供支撑和保障．

区域边界是对定级系统的安全计算环境的边界计算环境与通信网络之间实现连接进行安全保护的部件．区域边界对进入和流出应用环境的信息流进行安全检查和访问控制，确保不会有违背系统安全策略的信息流经过边界，边界的安全保护和控制是信息系统的第2道安全屏障．

通信网络是对定级系统安全计算环境之间进行信息传输实施安全保护的部件．通信网络保护主要指对信息系统的数据通信的保护及通信设备的备份与恢复．通信网络设备可通过对通信双方进行可信鉴别验证，建立安全通道，实施传输数据密码保护，确保其在传输过程中不会被窃听、篡改和破坏，是系统的第3道安全屏障．

需特别说明的是，因物理安全的防护较为通用，本方案中不再进行设计．

3．2 总体部署

总体部署图如图3所示：

图3 总体部署图

3．3 详细设计

3．3．1 通信网络安全

1）针对公共通信链路数据传输完整性、机密性需求的安全设计．

通过基于国产密码算法的加密认证装置为利用公网有线?无线链路传输的控制指令和重要数据传输提供加密和认证保护，保证数据传输和远控指令的安全，实现数据传输的机密性、完整性保护，避免信息传输过程中的泄露和被纂改．

加密认证装置基于TCP?IP网络，针对DNP3，IEC60870－5－104远动等工控协议进行优化设计，采用透明网桥模式，不影响原有网络和终端设备的配置．系统扩展性好，支持双机热备功能，具有完备的安全审计功能．同时加密认证装置采用国产密码算法，算法和设备均通过国家主管部门的审批和技术鉴定，确保安全可靠．

2）针对通信网络安全监管与审计需求的安全设计．

采用工控信息安全监测引擎镜像采集燃气SCADA系统调控中心内部工控协议数据流量进行旁路分析，对关键操作指令设定阈值，并与安全设备联动，减少误操作?恶意操作造成的安全风险．

通信网络安全部署如图4所示．

3．3．2 区域边界安全

1）针对燃气SCADA系统网络边界防护需求的安全设计．

采用可靠的边界防护措施，杜绝来自网络空间的攻击．在生产与办公系统边界利用当前部署的网闸保障生产与办公系统边界安全，采用物理隔离方式，在保障业务效率的同时，彻底阻断办公应用区域至调控中心之间的网络连接，防止内部信息泄露和外部病毒、黑客程序的渗入，杜绝网络威胁通过办公网络入侵管道SCADA系统的可能．

2）针对燃气SCADA系统内部各层间边界防护需求的安全设计．

在调控中心与站控系统之间加装工业防火墙，确保广域网边界安全．工业防火墙除了隔离防护功能以外，还将利用白名单与规则匹配方式对控制网络出口所有网络流量进行防护，同时深入控制流量，对其中的DNP3，104，OPC等工控协议进行深度检测与安全控制．

区域边界安全部署图如图5所示．

3．3．3 计算环境安全

1）针对核心服务器、各类终端防护需求的安全设计．

图4 通信网络安全部署

图5 区域边界安全部署图

为有效防护SCAD系统关键服务器，围绕工作人员误操作、外来人员非法操作对现场设备影响较大的安全隐患，防止和限制各类违规和非法操作对系统造成的安全隐患，系统采用多种安全加固手段，确保关键数据和操作行为可控．

① 关键服务器安全防护．

调控中心SCADA系统的历史数据库和实时数据库服务器是控制系统的核心关键设备，需要对其进行重点防护，在历史数据库和实时数据库服务器外围部署采用工业防火墙对OPC，DNP3，104等各类现场总线协议进行细粒度的深度解析，进一步提高历史数据库和实时数据库服务器的安全服务水平．

② 终端安全防护．

终端操作限制非法操作通过在操作员站和工程师站等操作终端部署终端安全防护系统，采用白名单等多种安全机制，从操作系统层面限制非法进程启用，并限制违规外联等不安全行为．部署仪表探针，对其所在通信网络上所有的通信信息进行监听、解析和分析处理，管理系统将探针数据再进行综合分析，对于安全异常信息，仪表探针及时主动地就地报警显示，还具有仪表信息采集、仪表信息安全预警及仪表安全态势评分等辅助功能．

2）针对漏洞扫描需求的安全设计．

部署漏洞扫描系统，以权威漏洞库和网安自主漏洞库为技术支撑，对目标工控系统?设备进行全方位测试和诊断，识别系统设备信息，测试系统脆弱度，分析已知漏洞，挖掘未知漏洞，生成告警和系统分析报告，并为客户提供及时可靠的工控信息安全服务．

3）针对运维风险防护需求的安全设计．

部署堡垒主机规范运维人员的身份管理、访问控制、权限控制、操作审计，解决操作者身份唯一性、合法访问操作资源的问题，解决操作者权限的问题，解决操作事故责任认定的问题防范，并且可物理旁路部署，IP可达，无需在运维对象和运维终端安装软件．

计算环境安全部署图如图6所示：